nginx图片防盗链

一、全站图片防盗链

在/usr/local/nginx/conf/nginx.conf文件要添加防盗链的server段里添加下面的代码:

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
valid_referers none blocked *.fish.com *.fish.com;
if ($invalid_referer)
{
rewrite ^/ http://www.otherdomin.com/403.jpg;
#return 403;
}
}

测试一下配置是否OK,重启nginx

说明:
1、请将代码中的*.fish.com *.fish.com等换成你自己的域名。
2、请确保server段中只有一个location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$,否则可能导致代码无效。
3、替换的图片地址要使用没有防盗链的网站图片,否则由于替换的图片其实也处于防盗链情况下,会造成仍旧无法显示设置的图片。

如果有下面这段代码,请将其删除或者与上面的代码合并成一段 :

location ~ .*\.(gif|jpg|jpeg|png|bmp|swf)$
{
expires 30d;
}

合并后,expire和防盗链都有效

location ~* ^.+\.(jpg|jpeg|gif|png|swf|rar|zip|css|js)$
{
valid_referers none blocked *.junguoguo.com *.junguoguo.com;
if ($invalid_referer) {
rewrite ^/ http://www.otherdomin.com/403.jpg;
return 403;
}
expires 30d;
}

测试一下配置是否OK,重启nginx,你会发现,防盗链设置已经生效了。

二:针对图片目录防止盗链

location /images/
{
alias /data/images/;
valid_referers none blocked server_names *.junguoguo.com junguoguo.com ;
if ($invalid_referer)
{
return 403;
}
}

三:使用第三方模块ngx_http_accesskey_module实现Nginx防盗链

实现方法如下:
1. 下载NginxHttpAccessKeyModule模块文件:Nginx-accesskey-2.0.3.tar.gz;http://wiki.nginx.org/File:Nginx-accesskey-2.0.3.tar.gz
2. 解压此文件后,找到nginx-accesskey-2.0.3下的config文件。编辑此文件:替换其中的”$HTTP_ACCESSKEY_MODULE”为”ngx_http_accesskey_module”;
3. 用一下参数重新编译nginx:
./configure –add-module=path/to/nginx-accesskey
4. 修改nginx的conf文件,添加以下几行:
location /download {
accesskey on;
accesskey_hashmethod md5;
accesskey_arg “key”;
accesskey_signature “mypass$remote_addr”;
}
其中:
accesskey为模块开关;
accesskey_hashmethod为加密方式MD5或者SHA-1;
accesskey_arg为url中的关键字参数;
accesskey_signature为加密值,此处为mypass和访问IP构成的字符串。

访问测试脚本download.php:
$ipkey= md5(“mypass”.$_SERVER['REMOTE_ADDR']);
$output_add_key=”<a href=http://www.domain.com/download/G3200507120520LM.rar?key=”.$ipkey.”>download_add_key</a><br />”;
$output_org_url=”<a href=http://www.domain.com/download/G3200507120520LM.rar>download_org_path</a><br />”;
echo $output_add_key;
echo $output_org_url;
?>
访问第一个download_add_key链接可以正常下载,第二个链接download_org_path会返回403 Forbidden错误。

分享:

### 如何配置 Nginx 实现防盗链 #### 一、理解防盗链概念 防盗链是一种保护资源不被其他站点非法使用的机制。通过验证请求来源的有效性来阻止外部网站直接访问受保护的内容。 #### 二、基本原理说明 当客户端浏览器加载页面上的图片或其他静态文件时,会向服务器发送HTTP GET 请求获取这些资源。此时可以在 Web Server (如Nginx) 上设置规则检查 Referer 字段中的 URL 是否合法,如果不匹配则拒绝提供该资源[^2]。 #### 三、具体操作指南 ##### 修改 Host 文件以便于本地测试环境搭建 为了模拟真实的网络情况并方便调试,在 Windows 系统下可以通过编辑 `C:\Windows\System32\drivers\etc` 目录下的 hosts 文件来进行域名解析映射。例如: ```plaintext 20.0.0.25 www.TX.top # 源主机 20.0.0.24 www.HH.top # 盗链主机 ``` 注意保存修改后的文件可能需要管理员权限,并且建议先备份原始版本以防出现问题[^1]。 ##### 编辑 Nginx 配置文件添加防盗链规则 进入 Nginx 安装目录找到 conf/nginx.conf 或者 site-available/default 文件(取决于操作系统),然后按照以下方式定义 location 块内的指令: ```nginx location ~* \.(gif|jpg|png)$ { valid_referers none blocked server_names *.TX.top; if ($invalid_referer) { return 403; } } ``` 这段代码表示对于所有以 .gif, .jpg 和 .png 结尾的文件只允许来自指定域名为*.TX.top 的请求访问;而对于不符合条件的情况返回 HTTP状态码403 Forbidden响应给用户代理程序[^3]。 完成上述更改之后记得重启 Nginx 使新策略生效: ```bash sudo service nginx restart ``` #### 四、高级应用案例分享 某些场景下除了简单地判断 referer 头部外还可以采用更复杂的手段比如基于时间戳加密签名等方式构建动态链接从而进一步增强安全性。这里给出一个例子用于生成带参数的时间敏感型下载地址[^4]: ```python import hashlib from datetime import timedelta,datetime def generate_signed_url(filename): expires = int((datetime.now() + timedelta(days=7)).timestamp()) sign_str = f"{filename}{expires}your_secret_key" md5_sign = hashlib.md5(sign_str.encode()).hexdigest() signed_url = f"http://example.com/path/to/{filename}?md5={md5_sign}&expires={expires}" return signed_url ``` 此函数可以根据传入的目标文件名创建有效期为一周的安全下载链接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

fish_study_csdn

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值